【技术实现步骤摘要】
本专利技术涉及网络安全的,特别涉及基于机器学习的实时攻击溯源的方法和系统。
技术介绍
1、互联网作为不同终端设备之间的连接网络,其用于进行移动终端、个人pc机、网关设备等不同类型终端设备之间数据交互传输。在实际工作中,当移动终端和个人pc机等终端设备被劫持时,被劫持的终端设备会向互联网内部其他终端设备发起流量攻击等攻击行为,这样会对网络内部整体的运行安全产生影响。为此现有技术会对互联网内部所有终端设备单独配置相应的攻击监测程序,以此及时对终端设备受到的攻击进行拦截,但是上述方式只能对受到攻击的终端设备进行保护,并不能对互联网内部发生的所有攻击行为进行全面准确的溯源追踪,无法降低互联网内部攻击行为的新增趋势,降低了互联网内部的运行安全性和可靠性。
技术实现思路
1、针对现有技术存在的缺陷,本专利技术提供了基于机器学习的实时攻击溯源的方法和系统,其对采样监听得到的网络内部所有网关节点的数据流进行机器学习,预测所有网关节点的异常数据成分传输特征信息,以此对网络进行攻击范围识别,得到网络内部会受到攻击的所有局域网区域,准确进行攻击行为涉及区域的标定,有效缩小后续攻击溯源追踪的范围;还监听得到局域网区域内部所有用户终端的运作状态信息,识别处于风险运作状态的所有用户终端,得到相应用户终端的风险运作数据,并通过机器学习得到相应用户终端受到实时攻击的发生位置信息,实现对用户终端的实时攻击流量状态的定向准确识别;还对受到实时攻击的用户终端进行攻击溯源识别,确定与实时攻击关联的所有网关节点和所有用户终
2、本专利技术提供基于机器学习的实时攻击溯源的方法,包括如下步骤:
3、步骤s1,对网络内部所有网关节点进行采样监听,得到所有网关节点各自的数据流;对所述数据流进行机器学习,预测所有网关节点各自在进行数据流传输过程中的异常数据成分传输特征信息;
4、步骤s2,基于所述异常数据成分传输特征信息,对所述网络进行攻击范围识别,确定所述网络内部会受到攻击的所有局域网区域;对所述局域网区域内部所有用户终端进行监听,得到所有用户终端各自的运作状态信息,并基于所述运作状态信息,识别其中处于风险运作状态的所有用户终端;
5、步骤s3,对处于风险运作状态的所有用户终端分别进行工作日志提取,并对提取得到的工作日志进行分析,得到处于风险运作状态的所有用户终端各自的风险运作数据;对所述风险运作数据进行机器学习,得到处于风险运作状态的用户终端受到实时攻击的发生位置信息;
6、步骤s4,基于所述发生位置信息,从受到实时攻击的用户终端中识别相应的实时攻击流量属性信息;基于所述实时攻击流量属性信息,对所述受到实时攻击的用户终端进行攻击溯源识别,确定与所述实时攻击关联的所有网关节点和所有用户终端,并对所述关联的所有网关节点和所有用户终端进行工作调整处理。
7、在本申请公开的一个实施例中,在所述步骤s1中,对网络内部所有网关节点进行采样监听,得到所有网关节点各自的数据流;对所述数据流进行机器学习,预测所有网关节点各自在进行数据流传输过程中的异常数据成分传输特征信息,包括:
8、基于网络内部所有网关节点各自当前连接的用户终端的数据传输速度,确定对相应网关节点内部传输的数据流进行监听的采样频率;基于所述采样频率,对所述网关节点进行采样监听,得到所有网关节点内部各自的数据流集合;
9、对所述数据流集合下属所有数据流分别进行数据去重预处理后,将所述数据流集合下属所有数据流输入至深度神经网络模型进行机器学习,预测所有网关节点各自在进行数据流传输过程中的异常数据成分传输动态特征信息;其中,所述异常数据成分传输动态特征信息包括异常数据成分的传输路径和传输生命周期信息。
10、在本申请公开的一个实施例中,在所述步骤s2中,基于所述异常数据成分传输特征信息,对所述网络进行攻击范围识别,确定所述网络内部会受到攻击的所有局域网区域;对所述局域网区域内部所有用户终端进行监听,得到所有用户终端各自的运作状态信息,并基于所述运作状态信息,识别其中处于风险运作状态的所有用户终端,包括:
11、基于所述异常数据成分的传输路径和传输生命周期信息,对所述网络进行攻击范围识别,确定所述异常数据成分在相应传输生命周期内沿相应传输路径能够在所述网络内部传输到达的所有终端设备;并基于所述所有终端设备在所述网络内部的位置信息,确定所述网络内部会受到攻击的所有局域网区域;
12、对所述局域网区域内部所有用户终端进行监听,得到所有用户终端各自的任务进程执行状态信息;其中,所述任务进程执行状态信息包括用户终端执行相应任务过程中所有进程各自的内存占用量和任务数据计算量;
13、若所述内存占用量大于预设占用量阈值或所述任务数据计算量大于预设计算量阈值,则确定所述用户终端处于风险运作状态;否则,确定所述用户终端不处于风险运作状态。
14、在本申请公开的一个实施例中,在所述步骤s3中,对处于风险运作状态的所有用户终端分别进行工作日志提取,并对提取得到的工作日志进行分析,得到处于风险运作状态的所有用户终端各自的风险运作数据;对所述风险运作数据进行机器学习,得到处于风险运作状态的用户终端受到实时攻击的发生位置信息,包括:
15、基于处于风险运作状态的所有用户终端各自的疑似风险运作持续时间区间,对处于风险运作状态的所有用户终端分别进行工作日志提取;对提取得到的工作日志进行运作数据类型识别分析,得到处于风险运作状态的所有用户终端各自的风险运作数据;其中,所述风险运作数据包括处于风险运作状态的用户终端在执行任务过程中对应的需处理任务数据和任务处理结果数据;
16、对所述风险运作数据进行数据噪声成分去除预处理后,将所述风险运作数据输入至深度神经网络模型进行机器学习,得到处于风险运作状态的用户终端受到实时攻击的应用程序位置信息,以此作为所述受到实时攻击的发生位置信息。
17、在本申请公开的一个实施例中,在所述步骤s4中,基于所述发生位置信息,从受到实时攻击的用户终端中识别相应的实时攻击流量属性信息;基于所述实时攻击流量属性信息,对所述受到实时攻击的用户终端进行攻击溯源识别,确定与所述实时攻击关联的所有网关节点和所有用户终端,并对所述关联的所有网关节点和所有用户终端进行工作调整处理,包括:
18、基于所述应用程序位置信息,对受到实时攻击的用户终端内部相应的应用程度端口进行攻击流量监测,得到相应的实时攻击流量特征代码信息;基于所述实时攻击流量特征代码信息,对所述受到实时攻击的用户终端进行攻击溯源识别,确定发起实时攻击流量的所有网关节点和所有用户终端以及所述实时攻击流量经过的所有网关节点和所有用户终端,以此作为与所述实时攻击关联的所有网关节点和所有用户终端;
19、基于所述关联的所有网关节点和所有用户终端在所述网络内部的位置信息,对所述关联的所有网关节点和所有用本文档来自技高网...
【技术保护点】
1.基于机器学习的实时攻击溯源的方法,其特征在于,其包括如下步骤:
2.如权利要求1所述的基于机器学习的实时攻击溯源的方法,其特征在于:
3.如权利要求2所述的基于机器学习的实时攻击溯源的方法,其特征在于:
4.如权利要求3所述的基于机器学习的实时攻击溯源的方法,其特征在于:
5.如权利要求4所述的基于机器学习的实时攻击溯源的方法,其特征在于:
6.基于机器学习的实时攻击溯源的系统,其特征在于,其包括如下模块:
7.如权利要求6所述的基于机器学习的实时攻击溯源的系统,其特征在于:
8.如权利要求7所述的基于机器学习的实时攻击溯源的系统,其特征在于:
9.如权利要求8所述的基于机器学习的实时攻击溯源的系统,其特征在于:
10.如权利要求9所述的基于机器学习的实时攻击溯源的系统,其特征在于:
【技术特征摘要】
1.基于机器学习的实时攻击溯源的方法,其特征在于,其包括如下步骤:
2.如权利要求1所述的基于机器学习的实时攻击溯源的方法,其特征在于:
3.如权利要求2所述的基于机器学习的实时攻击溯源的方法,其特征在于:
4.如权利要求3所述的基于机器学习的实时攻击溯源的方法,其特征在于:
5.如权利要求4所述的基于机器学习的实时攻击溯源的方法,其特征在于:
...【专利技术属性】
技术研发人员:谭堯木,姚皓,谌文杰,张芮嘉,吴斗,刘萧,李静,张旸,冯文强,
申请(专利权)人:国网四川省电力公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。